An ninh trong kiến trúc giao thức có phân lớp

An ninh trong kiến trúc giao thức có phân lớp

eb ooks

những quyết định bố trí như vậy Mô hình kiến trúc an ninh bốn mức sẽ được giới thiệu như một mô hình OSI nhỏ, thực tế và đơn giản hơn khi trình bày về các vấn đề bố trí an ninh Mô hình bốn mức này được dùng trong suốt cả quyển sách này mỗi khi nói về bố trí các dịch vụ an ninh lớp

Nội dung của chương được chia ra thành các mục sau:

(1) Những nguyên lý chung trong phân lớp các giao thức và các thuật ngữ kèm theo được giới thiệu trong Mô hình tham chiếu cơ sở của OSI

(2) Những cấu trúc, dịch vụ và giao thức của các lớp OSI đặc thù

(3) Bộ giao thức TCP/IP của mạng Internet và quan hệ của nó với kiến trúc OSI

(4) Bố trí cấu trúc của dịch vụ an ninh có trong mô hình bốn mức; và

(5) Phương thức quản trị các dịch vụ an ninh liên quan đến các lớp kiến trúc

3.1 Các nguyên lý và công nghệ phân lớp giao thức

Trong thực tế, có sự truyền thông giữa các hệ thống thực Để phục vụ cho mục đích định nghĩa các giao thức truyền thông giữa chúng, các tiêu chuẩn OSI đưa ra khái niệm về một mô hình của một hệ thống thực dưới tên gọi là một hệ thống mở Hệ thống của mô hình được coi là phải có cấu trúc theo các lớp Điều này không cần đòi hỏi các hệ thống thực cần phải được thực thi theo các cấu trúc giống nhau, mà người dùng có thể lựa chọn cấu trúc thực thi bất kỳ để đưa ra cách vận hành cuối cùng phù hợp với cách vận hành được định nghĩa bởi mô hình sử dụng Ví dụ, một thực thi có thể gộp các chức năng của nhiều tầng kề nhau vào trong một phần mềm mà không cần phải có ranh giới giữa các tầng

Lịch sử phát triển

Tiêu chuẩn OSI đầu tiên được Ủy ban Kỹ thuật TC97 của ISO công bố vào năm 1977 (Các hệ thống xử lý thông tin) Và sau đó Tiểu ban TC97/SC16 (Liên thông giữa các hệ thống mở) đã được thành lập với mục tiêu phát triển một mô hình và định nghĩa các tiêu chuẩn giao thức để hỗ trợ các nhu cầu của một phạm vi không hạn chế các ứng dụng trên nhiều công nghệ của các phương tiện truyền thông cơ bản Dự án đã thu hút sự chú ý của Hiệp hội Truyền thông Quốc tế (ITU), cơ quan đưa ra các khuyến cáo được các hãng truyền thông trên toàn thế giới áp dụng (Trước năm1993 chúng được gọi là Những khuyến cáo của CCITT) Và ra đời sự hợp tác giữa ISO và ITU để xây dựng Các tiêu chuẩn Quốc tế ISO thống nhất và các khuyến cáo của ITU trên OSI

Sản phẩm có ý nghĩa đáng kể đầu tiên của sự hợp tác này là Mô hình Tham chiếu Cơ bản của OSI Nó được phát hành vào năm 1994 như là Tiêu chuẩn quốc tế ISO 7498 và như là Các khuyến cáo ITU X.200 Tài liệu này

mô tả một kiến trúc bảy tầng cần được dùng làm cơ sở để định nghĩa đọc lập các giao thức lớp riêng rẽ Các tiêu chuẩn đối với các giao thức đầu tiên được phát hành không lâu sau khi Mô hình Tham chiếu cơ sở ra đời và ngay sau đó là các tiêu chuẩn khác cũng được phát hành đồng loạt

Các nguyên lý phân lớp

Mô hình OSI đưa ra những nguyên lý nhất định để xây dựng các giao thức truyền thông giữa các lớp Trên hình 3-1 trình bày một số khái niệm quan trọng

Lớp N+1

Hệ thống mở B

H ình 3-1: Các khái niệm phân lớp của OSI

Xét một lớp giữa nào đó, giả sử là lớp N Trên lớp N là lớp N+1 và lớp dưới nó là lớp N-1 Trong cả hai hệ thống mở có một chức năng hỗ trợ lớp N Điều này được đánh dấu bằng thực thể (N) trong mỗi hệ thống mở Cặp các thực thể truyền thông (N) cung cấp một dịch vụ cho các thực thể (N+1) trong hệ thống tương ứng Dịch vụ này bao gồm cả việc chuyển dữ liệu cho các thực thể (N+1)

Các thực thể (N) lại truyền thông với nhau thông qua giao thức truyền thông (N) Giao thức này bao gồm cú pháp (định dạng) và nghĩa (ý nghĩa) của dữ liệu được trao đổi giữa chúng cộng với các quy tắc mà các giao thức cần phải tuân theo Giao thức (N) được truyền bằng cách sử dụng một dịch

vụ do các thực thể (N-1) cung cấp Mỗi thông điệp được gửi trong giao thức (N) được biết như một đơn vị dữ liệu của giao thức (N) (viết tắt tiếng Anh là

PDU – Protocol Data Unit)

Một nguyên lý quan trọng tuân theo khái niệm phân lớp này là tính độc lập của lớp Đó là một dịch vụ lớp (N) có thể được định nghĩa và sau đó

có thể được dùng để định nghĩa các giao thức cho lớp (N+1) mà không cần biết rằng nó đã được giao thức (N) sử dụng để cung cấp dịch vụ đó

Bảy lớp của OSI

Mô hình tham chiếu OSI định nghĩa bảy lớp như trình bày trên hình 3-2 Các giao thức từ mỗi lớp được nhóm lại với nhau thành một cái gọi là ngăn stack của lớp OSI Một ngăn stack của lớp OSI thoả mãn các yêu cầu của

một quá trình ứng dụng là một phần của hệ thống thực thực hiện xử lý thông

tin cho mục đích ứng dụng đã cho

Các lớp và các chức năng chính của chúng bao gồm:

• Lớp ứng dụng (lớp 7): cung cấp phương tiện để quá trình ứng dụng

truy nhập vào môi trường OSI Các tiêu chuẩn của giao thức lớp ứng dụng giải quyết các chức năng truyền thông được áp dụng cho một ứng dụng chuyên biệt hoặc một họ các ứng dụng

• Lớp trình diễn (lớp 6): chịu trách nhiệm trình diễn thông tin mà thực

thể lớp ứng dụng dùng hoặc tham chiếu đến trong quá trình truyền thông

giữa chúng

• Lớp phiên làm việc (lớp 5): cung cấp phương tiện để các thực thể lớp

trên tổ chức và đồng bộ đối thoại giữa chúng và quản lý quá trình trao đổi

dữ liệu của chúng

• Lớp truyền tải (lớp 4): chịu trách nhiệm truyền tải dữ liệu thông suốt

giữa các thực thể lớp trên và giải phóng chúng khỏi các vấn đề chi tiết liên quan đến cách cụ thể để truyền dữ liệu được tin cậy và hiệu quả về

giá thành (chi phí thấp)

• Lớp mạng (lớp 3): đảm trách việc truyền nhận thông tin giữa các thực

thể lớp trên một cách độc lập mà không xét đến thời gian giữ chậm và chạy vòng chờ Ở đây bao gồm cả trường hợp khi có nhiều mạng con được dùng song song hoặc kế tiếp nhau Nó làm cho các lớp trên không

Giao thức vật lý

Giao thức liên kết dữ

liệ Giao thức mạng Giao thức vận chuyển Giao thức phiên làm việc Giao thức trình diễn Giao thức ứng dụng

Môi trường vật lý

Hệ thống mở A Lớp ứng dụng

thể nhìn thấy được các tài nguyên truyền thông phía sau được sử dụng (liên kết các dữ liệu) như thế nào

• Lớp liên kết dữ liệu (lớp 2): đảm nhận việc truyền dữ liệu trên cơ sở

điểm tới điểm và thiết lập, duy trì và giải phóng các nối ghép điểm tới điểm Nó phát hiện và có khả năng sửa các lỗi có thể xuất hiện ở dưới lớp vật lý

• Lớp vật lý (lớp 1): cung cấp phương tiện cơ khí, phương tiện điện,

phương tiện vận hành và phương tiện giao thức để kích hoạt, duy trì và ngắt bỏ các nối ghép vật lý dùng để truyền dữ liệu theo bit giữa các thực thể liên kết dữ liệu

Hình 3-3 trình bày kiến trúc OSI có xét đến ý nghĩa các mạng con ở lớp mạng Nó biểu diễn cách các mạng con có thể được sử dụng kế tiếp nhau để hỗ trợ một phiên truyền thông ứng dụng như thế nào (có thể sử dụng

cả những công nghệ về nối liên thông hoặc các công nghệ về phương tiện truyền thông khác nhau)

Hệ thống giữ chậm Lớp ứng dụng

Hình 3-3: Mô hình phân lớp của OSI có nhiều

Các lớp trên và các lớp dưới

Từ một triển vọng thực tế, các lớp của OSI có thể được coi như là:

(a) các giao thức phụ thuộc vào ứng dụng

(b) các giao thức kèm theo môi trường đặc thù

(c) hoặc một chức năng cầu nối giữa (a) và (b)

Các giao thức phụ thuộc ứng dụng gồm có Lớp ứng dụng , Lớp trình diễn và Lớp phiên làm việc Đây là những lớp trên Việc triển khai những lớp này được gắn chặt với ứng dụng đang được hỗ trợ và chúng hoàn toàn độc lập với công nghệ hoặc những công nghệ truyền thông đang sử dụng

Các lớp còn lại nằm trong các mục (b) và (c) trên đây là những lớp dưới Các giao thức phụ thuộc công nghệ của phương tiện truyền thông đều nằm trong Lớp vật lý và Lớp liên kết dữ liệu và các lớp con của Lớp mạng (các lớp phụ thuộc mạng con)

Chức năng cầu nối do Lớp truyền tải và các lớp con trên của Lớp mạng đảm nhiệm Các lớp con trên của Lớp mạng cho phép một giao diện dịch vụ mạng thích hợp luôn sẵn sàng cho lớp trên với chất lượng dịch vụ sẽ thay đổi tuỳ theo các mạng con được dùng Lớp truyền tải có nhiệm vụ làm cho các lớp trên nó nhìn thấy được các lớp dưới nó Nó hoặc nhận được các kết nối mạng với đầy đủ chất lượng của dịch vụ hoặc nâng cấp chất lượng của dịch vụ nếu cần, ví dụ, bằng cách cung cấp phát hiện lỗi và phục hồi trong giao thức truyền tải nếu hiêu năng sửa lỗi của Lớp mạng không đầy

đủ

Các dịch vụ và tiện ích lớp

Dịch vụ do một lớp bất kỳ cung cấp được mô tả bởi thuật ngữ các gốc dịch

vụ Chúng đóng vai trò là các sự kiện hạt nhân tại giao diện dịch vụ (trừu

tượng) Một dịch vụ lớp được chia ra thành một số các tiện ích và mỗi tiện ích lại bao gồm một nhóm các gốc dịch vụ liên quan Nhìn chung, một tiện ích liên quan đến tạo và xử lý một hoặc nhiều đơn vị dữ liệu của giao thức (PDU)

Ví dụ, trong dịch vụ truyền tải có một tiện ích nối ghép T CONNECT) dùng để thiết lập một nối ghép truyền tải Nó bao gồm bốn gốc dịch vụ (hai gốc dịch vụ ở một đầu dùng để khởi tạo thiết lập nối ghép và hai gốc khác ở đầu kia) và hai đơn vị PDU (một đơn vị dùng để gửi dữ liệu theo mỗi hướng) Mối liên hệ giữa các gốc dịch vụ và các đơn vị PDU được mô

(T-tả trên hình 3-4 như một lược đồ thời gian

Kiểu phối hợp trên đây gồm hai đơn vị PDU và bốn gốc dịch vụ là rất

phổ biến và nó được biết như là dịch vụ được xác nhận Một trường hợp phổ biến khác được biết như là dịch vụ không được xác nhận chỉ có một đơn vị

PDU và hai gốc dịch vụ Về cơ bản nó đều giống nhau vì nửa đầu của kiểu phối hợp được trìng bày trên hình 3-4

Các dịch vụ có kết nối và các dịch vụ không có kết nối

Có hai chế độ dịch vụ hoàn toàn khác nhau tại mỗi lớp Đó là:

• Chế độ dịch vụ có kết nối dựa trên các kết nối (N) do lớp (N) cung

cấp Một kết nối là một sự kết hợp giữa hai thực thể (N) có một pha thiết lập, pha truyền và pha ngắt Trong pha truyền một dòng các đơn vị dữ liệu được chuyển qua thay mặt cho các người dùng lớp trên của dịch vụ

• Chế độ dịch vụ không có kết nối gồm sự vận chuyển từng đơn vị dữ

liệu đơn lẻ mà không yêu cầu có sự liên hệ qua lại giữa chúng Dịch vụ

có thể chuyển vòng quanh các đơn vị dữ liệu một cách độc lập, không cấp

thông báo nhận và không đảm bảo cấp phát theo trình tự gửi.

Lý do chính tồn tại hai kiểu dịch vụ này là có một số công nghệ truyền thông cơ sở có kế thừa tính kết nối (ví dụ như các mạng chuyển mạch gói)

và một số khác lại kế thừa tính không kết nối (ví dụ như các mạng cục bộ) Chức năng cầu nối ở Lớp mạng và Lớp truyền tải là sự hỗ trợ hoạt động cho các lớp trên có kết nối trên các công nghệ truyền thông không kết nối

Với các lớp trên hướng kết nối thì kết nối tại các lớp riêng rẽ ánh xạ trực tiếp với nhau Một kết hợp ứng dụng (tương đương với một kết nối của Lớp ứng dụng) thì ánh xạ trực tiếp tới một kết nối trình diễn và kết nối này lại ánh xạ trực tiếp đến kết nối phiên làm việc Tuy nhiên, các lớp dưới đó thì không còn cần đến ánh xạ một -một như thế Ví dụ, một kết nối truyền tải

có thể được dùng lại nhiều lần cho các kết nối phiên làm việc, và một kết nối mạng cũng có thể vận chuyển một số hỗn hợp các kết nối cùng một lúc

Hiển thị KẾT NỐI T

Các gốc dịch

vụ truyền tải (đầu nhận)Yêu cầu

KẾT NỐI PDU

Đáp ứng KẾT NỐI T

của một thực thể ứng dụng cùng với những khái niệm được dùng để mô tả các quan hệ tích cực giữa những lần gọi của các thực thể ứng dụng

Khối cấu trúc cơ sở nhất của một thực thể ứng dụng được gọi là một phần tử dịch vụ ứng dụng (viết tắt tiếng Anh là ASE – Application-Service-

Element) (Một ASE có thể được coi như là một tài liệu) Cấu thành cấu trúc chung hơn của thực thể ứng dụng là một đối tượng dịch vụ ứng dụng (viết tắt tiến Anh là ASO – Application-Service-Object) được xây dựng từ các ASE và/hoặc các ASO khác Các nguyên lý cấu trúc liên quan đến các thực thể ứng dụng, ASE và ASO sẽ được trình bày tiếp trong chương 12

Có hai khái niệm quan trọng mô tả các quan hệ giữa các thực thể ứng dụng đang truyền thông là:

• Phối hợp ứng dụng: Đó là một quan hệ phối hợp giữa hai lần gọi của

ASO có nhiệm vụ quản lý việc sử dụng hai chiều của dịch vụ trình diễn cho các mục đích truyền thông Đây là một sự tương đương của một kết nối đối với Lớp ứng dụng Nó cũng có thể được coi như là một biểu diễn của kết nối trình diễn đối với Lớp ứng dụng

• Hoàn cảnh ứng dụng: Đó là một bộ các quy tắc được chia xẻ bởi hai

lần gọi của ASO nhằm hỗ trợ một phối hợp ứng dụng Đây là giao thức của Lớp ứng dụng hoàn toàn hiệu quả khi sử dụng trên một phối hợp ứng dụng

Một ASE được chú ý đặc biệt là phần tử dịch vụ kiểm soát phối hợp

(viết tắt tiếng Anh là ASCE – Association Control Service Element) ASE này hỗ trợ việc thiết lập và kết thúc các phối hợp ứng dụng và nó cần phải có trong tất cả mọi hoàn cảnh ứng dụng Một biểu diễn thực tế của ASCE là nó định nghĩa các thông tin của Lớp ứng dụng được vận chuyển các trao đổi giao thức đẻ thiết lập và kết thúc các kết nối trình diễn và các kết nối phiên làm việc Dịch vụ ASCE được định nghĩa trong tiêu chuẩn ISO/IEC 8650

Một số ứng dụng dựa trên tiêu chuẩn ISO đã được định nghĩa Các tiêu chuẩn gồm các định nghĩa về các giao thức của Lớp ứng dụng cùng với vật chất hỗ trợ như các định nghĩa về các mô hình thông tin và các thủ tục cần tuân theo trong hệ thống Các ứng dụng chính được nói đến trong cuốn sách này là:

• Các hệ thống quản lý tin nhắn (viết tắt tiếng Anh là MHS – Message

Handling Systems): Ứng dụng này hỗ trợ cho việc nhắn tin điện tử gồm gửi thư điện tử giữa các cá nhân, chuyển EDI và nhắn tin thoại MHS đã

là một ứng dụng OSI hàng đầu trong các đặc tính an ninh hợp nhất Ứng dụng này và các đặc tính an ninh của nó được trình bày trong chương 13

• Thư mục: Ứng dụng này cung cấp cơ sở để kết nối liên thông các hệ

thống xử lý thông tin sao cho cung cấp hệ thống thư mục tích hợp, nhưng

phân tán về vật lý với các công dụng tiềm ẩn khác nhau Ứng dụng thư mục và các đặc tính an ninh của nó sẽ được trình bày trong chương 14

• Truyền tệp, truy nhập và quản trị (viết tắt tiếng Anh là FTAM – File Transfer, Access, and Management): Ứng dụng FTAM có nhiệm vụ hỗ trợ đọc hoặc ghi các tệp tin trong một hệ máy tính ở xa, truy nhập vào các cấu thành của những tệp tin đó, và/ hoặc quản trị (ví dụ như, tạo hoặc xoá) những tệp tin đó FTAM được định nghĩa trong tiêu chuẩn ISO/IEC

8571

Các tiện ích quản trị mạng OSI cúng đóng góp mọt ứng dụng OSI Chúng sẽ được bàn đến trong chương 15

Các tiêu chuẩn của Lớp ứng dụng OSI gồm một giao thức xây dựng mô

hình quan trọng và công cụ xây dựng được gọi là phần tử dịch vụ hoạt động

từ xa (viết tắt tiếng Anh là ROSE – Remote Operation Service Element)

ROSE dựa trên một mô hình máy chủ - tớ (client-server) chung, trong đó một hệ thống (máy tớ) gọi các hoạt động nhất định nào đó trong hệ thống khác (máy chủ) Giao thức có thể được biểu diễn bằng ngôn ngữ kèm theo lệnh gọi và các kết quả hoặc một báo lỗi có thể được trả về từ hoạt động của

hệ thống Đối với một ứng dụng thích hợp với mô hình này công dụng của ROSE có thể tạo thuận lợi cho định nghĩa giao thức ROSE được dùng trong các giao thức quản trị MHS, thư mục, và mạng OSI Mô hình, dịch vụ và giao thức ROSE được định nghĩa trong tiêu chuẩn ISO/IEC 9072 đa thành phần

Lớp trình diễn

Lớp trình diễn giải quyết các vấn đề liên quan đến cách trình diễn các thông tin ứng dụng (như một chuỗi bit) cho các mục đích truyền tải Tổng quan về hoạt động của lớp này được trình bày trong chương 12

Các tiêu chuẩn về dịch vụ và giao thức trình diễn được quy định trong tiêu chuẩn ISO/IEC 8822 và 8823

Một cặp tiêu chuẩn của Lớp trình diễn đặc biệt quan trọng là tiêu chuẩn ISO/IEC 8824 và tiêu chuẩn ISO/IEC 8825 liên quan đến Ghi chú cú pháp trừu tượng 1 (ASN.1) ASN.1 được các ứng dụng OSI cũng như các ứng dụng phi OSI dùng nhiều để định nghĩa các hạng mục thông tin của Lớp ứng dụng và để mã hoá các chuỗi bit tương ứng cho chúng.Giới thiệu vắn tắt

về ASN.1 được cho trong Phụ lục B Các bạn đọc chưa quen với ASN.1 có thể đọc phụ lục trước bắt đầu vào phần II của cuốn sách này Các thông tin chi tiết về ASN.1 các bạn cũng có thể tìm đọc trong tài liệu [STE1]

Lớp phiên làm việc

Lớp phiên làm việc thực hiện các chức năng như quản trị đối thoại và đồng

bộ lại dưới sự kiểm soát trực tiếp của Lớp ứng dụng Quản trị đối thoại hỗ trợ các chế độ hoạt động song công và bán song công cho các ứng dụng Đồng bộ lại hỗ trợ chèn các dấu đồng bộ vào một cùm dữ liệu và tiến hành đồng bộ với đồng bộ trước đó trong điều kiện có lỗi Các tiêu chuẩn đối với dịch vụ và giao thức của phiên làm việc được quy định trong tiêu chuẩn ISO/IEC 8326 và 8327

Các bàn luận về nội dung kiến trúc an ninh sau này sẽ kết luận rằng, Lớp phiên làm việc không đóng vai trò trong việc cung cấp an ninh, nên các bạn đọc chưa làm quen với lớp này có thể yên tâm bỏ qua

Lớp truyền tải

Dịch vụ Lớp truyền tải được định nghĩa trong tiêu chuẩn ISO/IEC 8072 Nó

hỗ trợ truyền tải dữ liệu thông suốt từ hệ thống này đến hệ thống khác Nó làm cho cho các người dùng (lớp trên) của nó không phụ vào các công nghệ

truyền thông cơ sở và cho phép họ có khả năng xác định một chất lượng của dịch vụ (chẳng hạn như các thông số về thông lượng, tần suất tái hiện lỗi và

xác suất hỏng hóc) Nếu chất lượng của dịch vụ của các dvụ mạng cơ sở không thích đáng thì Lớp truyền tải sẽ nâng cấp chất lượng của dịch vụ lên mức cần thiết bằng cách bổ xung giá trị (ví dụ phát hiện/ khôi phục lỗi) trong giao thức riêng của nó Dịch vụ truyền tải có cả biến thể dựa vào kết nối và biến thể không có kết nối

Các giao thức của Lớp truyền tải phải hỗ trợ dịch vụ dựa trên kết nối được định nghĩa trong tiêu chuẩn ISO/IEC 8073 Có năm cấp giao thức khác nhau sau đây:

• Cấp 0 không bổ xung giá trị nào cho thiết bị mạng

• Cấp 1 hỗ trợ khắc phục lỗi khi Lớp mạng phát hiện có lỗi

• Cấp 2 hỗ trợ dồn các kết nối truyền tải trên một kết nối mạng

• Cấp 3 thực hiện khắc phục và dồn kênh

• Cấp 4 thực hiện phát hiện lỗi (kiểm tổng), khặc phục lỗi và dồn kênh Bằng cách sử dụng các đặc tính khắc phục lỗi của mình giao thức cấp 4 có thể hoạt động trên một dịch vụ mạng không kết nối để cung cấp một dịch vụ truyền tải có kết nối

Giao thức hỗ trợ dịch vụ truyền tải không kết nối được định nghĩa trong tiêu chuẩn ISO/IEC 8602

Lớp mạng

Lớp mạng là một trong những lớp OSI phức tạp hơn, vì nó cần phải thích hợp với nhiều công nghệ mạng con và các chiến lược kết nối liên thông khác nhau Nó cần phải giải quyết các vấn đề liên quan về trễ giữa các mạng con

của các công nghệ khác nhau và nó cũng phải giải quyết các vấn đề liên quan đến trình diễn một giao diện dịch vụ chung cho Lớp truyền tải trên đây

Sự tồn tại cả hai hình thức hoạt động có kết nối và không có kết nối đóng góp làm cho các tiêu chuẩn của Lớp mạng phức tạp một cách đáng kể

Các tiêu chuẩn làm giải thích tốt nhất cho hoạt động của Lớp mạng là tiêu chuẩn ISO/IEC 8880, tiêu chuẩn ISO/IEC 8648 và tiêu chuẩn ISO/IEC

8348 Hình 3-5 minh hoạ các quan hệ giữa các tiêu chuẩn này

Tiêu chuẩn ISO/IEC 8648 về tổ chức bên trong của Lớp mạng

Tiêu chuẩn ISO/IEC 8880-1 về các nguyên lý

Tiêu chuẩn ISO/IEC 8880-2

về giám sát và hỗ trợ dịch vụ mạng chế độ có kết nối

Tiêu chuẩn ISO/IEC 8880-3

về giám sát và hỗ trợ dịch vụ mạng chế độ không cóTiêu chuẩn ISO/IEC 8348 về

định nghĩa dịch vụ mạng (chế độ có kết nối, bổ xung chế

độ không kết nối và phần đánh Hình 3-5: Các tiêu chuẩn chung đối với Lớp mạng

Tiêu chuẩn ISO/IEC 8648 giới thiệu một số thuật ngữ và khái niệm quan trọng và mô tả cách các khái niệm xây dựng mô hình OSI trong lớp

này ánh xạ đến các cấu thành mạng thực tế như thế nào Khái niệm một một

hệ thống cuối (được đưa ra trong mô hình tham chiếu OSI) tạo ra mô hình

một thiết bị hoặc một nhóm các thiết bị thực thi một ngăn xếp đầy đủ bảy

lớp Còn khái niệm hệ thống trung gian được đưa ra trong Lớp mạng Một

hệ thống trung gian chỉ thực hiện các chức năng có ở trong ba lớp OSI thấp nhất Một hệ thống cuối có thể truyền thông với một hệ thống cuối khác một cách trực tiếp hoặc thông qua một hoặc nhiều hệ thống trung gian khác

Một mạng con thực là một tập hợp thiết bị và các đường nối vật lý

dùng để kết nối liên thông các hệ thống thực khác, ví dụ như, một mạng chuyển mạch gói công cộng, một mạng cục bộ LAN hay một tập hợp các

mạng con thực khác được kết nối liên thông với nhau Một bộ làm việc liên kết là một thiết bị (hoặc mọt phần thiết bị) thực hiện một chức năng giữ chậm mạng Thuật ngữ hệ thống trung gian có thể quy về sự trừu tượng của một trong các khái niệm sau:

a) một mạng con thực

b) một bộ làm việc liên kết, nối hai hay nhiều mạng con (ví dụ như, một router) hay

c) một sự kết hợp của mạng con thực với bộ làm việc liên kết

Nhiều giao thức của Lớp mạng khác nhau có thể được định nghĩa Cấu trúc bên trong của lớp quan tâm đến các giao thức mạng con có thể hay không có thể được thiết kế đặc biệt để hỗ trợ cho OSI Do vây, giao thức cơ

sở của một mạng con không cần phải hỗ trợ tất cả các chức năng cần thiết cho dịch vụ Lớp mạng Nếu cần thì các lớp con sau của giao thức có thể được cấp trên giao thức mạng con để cung cấp các chức năng cần thiết

Trong một kịch bản kết nối liên thông bất kỳ thì một giao thức của Lớp mạng thực hiện một hoặc một số chức năng sau:

• Giao thức hội tụ độc lập mạng con (viết tắt tiếng Anh là SNICP –

SubNetwork-Independent Convergence Protocol): cung cấp các chức năng để hỗ trợ dịch vụ mạng OSI trên một tập các khả năng cơ sở được định nghĩa đầy đủ mà chúng không dựa vào một mạng con cơ sở nhất định nào Vai trò này, nhìn chung, áp dụng cho một giao thức kết nối liên thông được sử dụng, ví dụ như, để vận chuyển các thông tin điạc chỉ hoá

và thông tin chạy vòng qua nhiều mạng được kết nối liên thông

• Giao thức hội tu phụ thuộc mạng con (viết tắt tiếng Anh là SNDCP –

SubNetwork-Dependence Convegence Protocol): làm việc trên một giao thức đóng vai trò SNaCP nhằm bổ xung các khả năng cần thiết cho một giao thức SNICP hoặc cần để cung cấp dịch vụ mạng OSI đầy đủ

• Giao thức truy nhập mạng con (viết tắt tiếng Anh là SNAcP –

SubNetwork access Protocol): Giao thức này là một phần thừa kế của một kiểu mạng con đặc biệt Nó cung cấp một dịch vụ mạng con tại các điểm cuối của nó và dịch vụ này có thể hoặc không phải tương đương với dịch vụ mạng OSI

Một trong những giao thức quan trọng hơn là giao thức mạng không kết nối

(viết tắt tiếng Anh là CLNP – Connectionless Network Protocol) được định nghĩa trong tiêu chuẩn ISO/IEC 8473 Giao thức này, nhìn chung, được dùng trong vai trò của một SNICP để cung cấp dịch vụ mạng ở chế độ không

có kết nối Tiêu chuẩn ISO/IEC 8473 cũng định nghĩa cách giao thức này có thể hoạt động trên các mạng con chuyển mạch gói X.25 và mạng LAN như thế nào

Các chức năng công nghệ mạng con

OSI được thiết kế để hoạt động ảo trên một phạm vi không có giới hạn các công nghệ mạng con cơ sở Các công nghệ này có các giao thức của Lớp mạng phụ thuộc mạng con (vai trò của SNaCP và SNDCP) và các giao thức của Lớp liên kết dữ liệu và Lớp vật lý Nhiều tiêu chuẩn đã được phát triển đối với các công nghệ mạng con chuyên dụng, bao gồm:

• Các mạng LAN cục bộ - loạt tiêu chuẩn ISO/IEC 8802;

• Các mạng dữ liệu chuyển mạch theo gói (viết tắt tiếng Anh là PSDNs – Packet Switched Data Network) - khuyến cáo của ITU-T X.25 và các tiêu chuẩn quốc tế ISO/IEC 8208, 8878 và 8881;

• Các mạng dữ liệu chuyển mạch theo mạch điện (viết tắt tiếng Anh là CSDNs – Circuit Switched data Network);

• Các mạng số dịch vụ tích hợp (viết tắt tiếng Anh là ISDNs – Integrated Service Digital Network); và

• Các mạng thoại chuyển mạch công cộng (viết tắt tiếng Anh là PSTNs – Public Switched Telephone Network)

Các giao thức bao gồm cả các chức năng cầu nối tất cả đều được coi phải được đặt ở Lớp liên kết dữ liệu X.25 báo trùm hai lớp Giao thức mức gói X.25 là một giao thức Lớp mạng phụ thuộc mạng con, trong khi đó thì giao thức truy nhập liên kết X.25 lại ở trong Lớp liên kết dữ liệu

Vì các mạng hệ thống mở thường bao trùm nhiều công nghệ mạng con, nên các đặc tính an ninh được liên kết vào trong một công nghệ đặc thù

là giá trị hữu hạn Do vây, phần này của kiến trúc OSI ít liên quan đến quyển sách này so với các lớp trên An ninh đối với các mạng LAN và cũng cho cả các mạng PSDNS X.25 sẽ được bàn đến trong chương 11

3.3 Bộ giao thức mạng Internet TCP/IP

Các giao thức mạng Internet đã được phát triển từ giữa những năm 1970 khi

Cơ quan nghiên cứu các dự án cấp tiến quốc phòng của Mỹ (viết tắt tiếng Anh là DAPRA – Defense Advanced Projects Research Agency) bvắt đầu đầu tư phát triển các tiện ích mạng PSDNS để kết nối liên thông các trường đại học và các cơ quan của chính phủ trên toàn nước Mỹ Một bộ các giao thức đầy đủ vì vậy đã được xác định bao trùm tất cả các chức năng giống như mô hình tham chiếu của OSI Bộ giao thức thường được biết như bộ giao thức TCP/IP được đặt tên theo hai giao thức cấu thành quan trọng nhất Các giao thức này đang được phát triển nhanh chóng trong nhiều mạng diện

rộng quốc tế, đặc biệt bộ sưu tập các mạng được kết nối liên thông được biết như là mạng Internet của DAPRA

Bộ giao thức nhiều khi còn được biết như là đối thủ cạnh tranh hàng đầu (head to head) với bộ giao thức OSI Tuy nhiên, càng ngày cáng sáng tỏ rằng, mỗi bộ giao thức có những điểm mạnh và yếu riêng của mình và lợi ích lớn chỉ có thể đạt được bằng cách kết hợp các giao thức thành viên của

cả hai bộ giao thức này để cho ra các giải pháp nối mạng hoàn thiện Chính việc phân lớp giao thức làm cho vấn đề này trở nên hiện thực được

Bộ giao thức mạng Internet có thể được mô hình hoá bằng cách sử dụng cùng phương pháp tiếp cận phân lớp như kiến trúc OSI và mặc dù không có đầy đủ bảy lớp trong bộ giao thức mạng Internet, nhưng các giao thức này hoàn toàn ánh xạ tới mô hình OSI Có bốn lớp hiệu quả của mạng Internet Đối với các mục đích của của cuốn sách này, chúng ta sẽ chúng như sau:

• Lớp ứng dụng: lớp này gồm các chức năng của Lớp ứng dụng, Lớp

trình diễn và Lớp phiên làm việccủa mô hình OSI, có nghĩa là các lớp trên OSI được trình bày trong mục 3.2

• Lớp truyền tải: lớp này hoạt động tương tự như Lớp truyền tải của OSI

• Lớp mạng Internet: lớp này hoạt động tương tự như phần độc lập

mạng con của Lớp mạng OSI (trừ khi có định nghĩa khác, còn thuật ngữ lớp mạng được dùng trong phần còn lại của cuốn sách sẽ được hiểu cho

Các giao thức của Lớp ứng dụng

Có rất nhiều giao thức của Lớp ứng dụng mạng Internet và dưới đây chúng

ta sẽ liệt kê một số trong số đó:

• Giao thức truyền tệp (viết tắt tiếng Anh là FTP – File Transfer Protocol): đây là một giao thức cho phép người dùng đăng nhập vào trong một hệ thống ở xa, nhận dạng chính họ, liệt kê các thư mục ở xa và sao chép tệp đi và đến máy tính ở xa